Penetration Tester (IT Security)

• Thực hiện kiểm thử xâm nhập (penetration test) trên hệ thống web, mobile, API và hạ tầng ứng dụng.
• Phân tích và review mã nguồn để phát hiện lỗ hổng bảo mật, đồng thời đề xuất giải pháp khắc phục.
• Đọc và xử lý kết quả từ các công cụ tự động (SonarQube, Acunetix, SAST/DAST…), loại bỏ false positive và xác định các rủi ro thực tế.
• Xây dựng risk matrix để phân loại và ưu tiên các vấn đề bảo mật cần fix.
• Phối hợp chặt chẽ với đội ngũ phát triển, truyền đạt kết quả bằng ngôn ngữ kỹ thuật của lập trình viên và đưa ra hướng dẫn fix lỗi cụ thể.
• Chuẩn bị và trình bày báo cáo kết quả pentest cho team phát triển và quản lý.

• 1–2 năm kinh nghiệm trong Penetration Testing
• Kiến thức chắc về OWASP Top 10, SANS 25, lỗ hổng bảo mật web/mobile/app, và các kỹ thuật khai thác.
• Có khả năng code review bằng ít nhất một ngôn ngữ lập trình phổ biến (Java, C#, Python, JavaScript…).
• Thành thạo việc sử dụng và phân tích kết quả từ SAST/DAST tools (SonarQube, Acunetix, Burp Suite, ZAP, Checkmarx…).
• Kinh nghiệm lọc false positive và đưa ra risk matrix rõ ràng, ưu tiên hợp lý cho dev.
• Kỹ năng trình bày, viết báo cáo và giải thích giải pháp kỹ thuật cho developer.

Ưu tiên:

• Có chứng chỉ bảo mật: OSCP, OSWE, CEH, hoặc tương đương.
• Có kiến thức CI/CD Security Integration là một lợi thế